Архив метки: SIEM

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

Добавить комментарий

Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес (тем кто активно хейтил мой пост на эту тему — зацените, вполне возможно Антон и Лев критиковали мои предложения именно с ваших позиций; если нет, то оставьте коммент 😉), громкие критичные уязвимости, инциденты, интересные новости и статьи. А под конец выпуска Максим зачитал суровую рэпчину в свой новый микрофон. 😎🎤

00:00 Смотрим статистику по просмотрам и продолжение к "Двухфакторка рулит. Git­Lab — решето."
02:16 Обсуждаем художественную литературу: "Девушка с татуировкой дракона" Стиг Ларссон, романы Пелевина, "Задача трёх тел" Лю Цысинь, романы про попаданцев на Author­To­day
13:15 Импортозамещаем MS Share­Point
14:53 Импортозамещаем Cis­co Uni­ty Con­nec­tion и обсуждаем использование решений из дружеских стран
20:34 Импортозамещаем Git­Lab и обсуждаем есть ли в этом смысл
24:16 Импортозамещаем Ivan­ti Con­nect Secure и Cis­co Any­Con­nect
29:08 Мемасики
31:56 В Juniper-ах очередная preAuth RCE (CVE-2024–21591) с возможностью получить root‑а на устройстве
34:10 Подмена прошивки в умном термостате Bosch BCC100 (CVE-2023–49722) и услуга VM-щик на час
38:06 Microsoft обвинила русских хакеров в атаке по своим системам
40:11 Очередная критичная RCE в Con­flu­ence (CVE-2023–22527)
41:43 Январский Lin­ux Patch Wednes­day
43:13 Лев комментирует пост Алекся Лукацкого: У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем
47:46 В блоге Qualys вышел занимательный пост про проблемы детектирования "глубоко встроенных уязвимостей"
50:05 Исследователь, который в прошлый раз взломал «Хонду», продолжает рассказывать о своих находках
52:29 Пришёл Максим с новым микрофоном
53:29 Студент сингапурского ВУЗа автоматизировал процесс взлома с использованием чат-бота Chat­G­PT
55:45 ОреnАI плотно работает с военными США над инструментами кибербезопасности
59:43 Роскомнадзор создаст базу данных геолокации отечественных IP-адресов
1:01:26 Суровая заключительная рэпчина от Mr. X 🎤

Прослушал второй эпизод подкаста КиберДуршлаг с Эльманом Бейбутовым

Добавить комментарий

Прослушал второй эпизод подкаста КиберДуршлаг с Эльманом Бейбутовым

Прослушал второй эпизод подкаста КиберДуршлаг с Эльманом Бейбутовым. Выписал тезисы.

1. Об управлении уязвимостями должно болеть у SOCоводов, т.к. активность закрепившегося злоумышленника будет выглядеть как более-менее легитимная активность пользователя и они её не поймают.
2. Людям склонно заниматься тем, что проще. Внедрять антивирусы гораздо проще, чем VM процесс.
3. VM не панацея. Нужен контроль конфигураций и действий внутреннего напушителя, нужно реагирование, нужна экосистема.
4. SIEM для VMа позволяет актуализировать инфу об активах, VM для SIEMа позволяет подсветить активы с высокой вероятностью эксплуатации (где нужно обмазать детектами).
5. Связка VM с EDR позволяет использовать EDR в качестве агента для инвентаризации и response (погасить хост, собрать инфу на доп. расследование)
6. В VM нужно интегрировать и апсечные уязвимости, и куберовые.
7. Можно такие интеграции замутить не в экосистеме одного вендора, а из разных решений через APIшки? Можно, но сложно. Из опенсурса ещё сложнее.
8. Куда дальше? Виртуальный патчинг, автоматический патчинг, детект любых уязвимостей и везде, анализ MLем.
9. Много фидов это хорошо, т.к. они друг друга дополняют, но должна быть Threat Intel­li­gence платформа, чтобы эффективно с ними работать.
10. Вершина эволюции VMа — автопилот. Автоматизированный Patch Man­age­ment, сквозной vir­tu­al patch­ing, построение цепочки атак и отслеживание действий злоумышленника. Реализуется в метапродуктах PT.